IBM har publicerat en artikel på DeveloperWorks om den säkerhetsarkitektur som finns Cell Broadband Engine – mer känd som Cellprocessorn i Playstation 3 (PS3).
Artikeln är skriven av Kanna Shimizu och beskriver de mekanismer som finns inbyggda i de olika delarna av Cellprocessorn och som tillsammans skapar en säker miljö för applikationer att exekvera.
Säkerhetssystemet i Cellprocessorn kan delas in i tre delar:
- Ett säkerhetsvalv för exekvering av applikationer.
- En hårddvarubaserad säker bootprocess.
- En hårdvarubaserad rot för säkerhet.
Säkerhetsvalvet som IBM kallar det består av att krypterade applikationer kan laddas in i en av de vektorprocessorer som finns i Cellprocessorn (vektorprocessorerna kallas SPE:er och det finns åtta stycken i varje Cellprocessor.). När applikationen väl lästs in i processorn dekrypteras applikationen och börjar exekvera. Då det inte finns något sätt för andra vektorprocessor eller för huvudprocessorn att läsa i vektorprocessorn ligger applikationen enligt IBM i en säker miljö – ett valv. Det enda som går att göra är att kommunicera med applikationen genom kommunikationsportarna.
För att applikationen skall kunna lita på att den dekrypteras i en säker miljö har IBM säkrat upp bootprocessen. Genom ett kryptologiskt signeringsförfarande kan applikationer kontrollera att dom startar upp in sin avsedda miljö. För att denna signering skall fungera har IBM lagt till en kryptonyckel i varje chip – det som IBM kallar säkerhetsroten.
Det jag gillar med artikeln är att den väldigt tydligt definierar de hot som säkerhetsmekanismerna skall skydda emot, och än viktigare vilka hot man inte försöker skydda sig mot. Man har mao gjort en riktig säkerhetsanalys. Så här skriver IBM:
With the confusing array of security solutions available in the marketplace, it is helpful to clarify what attack model a design is intended to protect against. Although, the Cell BE processor does have defenses against physical attacks, the architecture’s main focus is software-based attacks.
These attacks can be unleashed simply by executing software code, and often times, the code is available for free from an Internet Web site. In contrast, physical attacks require obtaining extra hardware (such as a mod-chip), or expensive measuring equipment and also require skill in opening up the system to make the necessary changes.
Mod-chip är man inte orolig för alltså, men däremot SW-hack. Och sättet man försöker lösa detta på är alltså genom hårdvara – begränsa vad processorer kan adressera och lägga till säkerhetsmekanismer som inte är beroende av program.
Det jag inte gillar med artikeln är att vadjag ser som vital informationhar uteslutits. Det är inte klart vilka kryptomekanismer som används. IBM har tidigare redovisat prestandan för att exekvera AES- och RSA-operationer på en SPE, men är det vad som finns inbyggt. Vidare är det inte klart om dessa mekanismer verkligen är byggda i hårdvara, eller om det finns ROM i SPE:erna som innehåller program för att utföra dessa operationer.
Vidare finns det ingen information om nyckellängder, signaturmekanismer som används, kryptomoder osv. Kort sagt saknas det en massa information som jag skulle vilja veta för att bedöma om jag skulle våga använda Cellprocessorn för säkerhetskritiska tillämpningar eller ej.
Sedan får tiden utvisa om dessa mekanismer räcker, eller om applikationsutvecklarna i sin tro på dessa mekanismer sedan slarvar och lämnar en massa hål i applikationerna som gör att även om man inte kan läsa direkt i minnet för en SPE kan man ändå ta över applikationen via data-portarna. IBM, som har många prominenta säkerhetsexperter anställda brukar inte slarva, men är det någon plattform där det kommer att finnas incitament att äga maskinen är det på PS3.
No related posts.
Related posts brought to you by Yet Another Related Posts Plugin.
